Microsoft Entra çok faktörlü kimlik doğrulaması için NPS uzantısından gelen hata iletilerini çözme
Microsoft Entra çok faktörlü kimlik doğrulaması için NPS uzantısında hatalarla karşılaşırsanız, daha hızlı bir çözüme ulaşmak için bu makaleyi kullanın. NPS uzantısı günlükleri, NPS Uzantısı'nın yüklü olduğu sunucuda Uygulamalar ve Hizmet Günlükleri>Microsoft>AzureMfa>AuthN>AuthZ altında Olay Görüntüleyicisi bulunur.
Yaygın hatalar için sorun giderme adımları
| Hata kodu | Sorun giderme adımları |
|---|---|
| CONTACT_SUPPORT | Desteğe başvurun ve günlükleri toplama adımlarının listesinden bahsedin. Kiracı kimliği ve kullanıcı asıl adı (UPN) dahil olmak üzere hatadan önce ne olduğu hakkında olabildiğince fazla bilgi sağlayın. |
| CLIENT_CERT_INSTALL_ERROR | İstemci sertifikasının yüklenmesi veya kiracınızla ilişkilendirilmesi ilgili bir sorun olabilir. İstemci sertifikası sorunlarını araştırmak için MFA NPS uzantısını giderme başlığındaki yönergeleri izleyin. |
| ESTS_TOKEN_ERROR | İstemci sertifikası ve güvenlik belirteci sorunlarını araştırmak için MFA NPS uzantısı sorunlarını giderme başlığındaki yönergeleri izleyin. |
| HTTPS_COMMUNICATION_ERROR | NPS sunucusu, Microsoft Entra çok faktörlü kimlik doğrulamasından yanıt alamıyor. Güvenlik duvarlarınızın çift yönlü olarak gelen ve gelen https://adnotifications.windowsazure.com trafik için açık olduğunu ve TLS 1.2'nin etkin olduğunu doğrulayın (varsayılan). TLS 1.2 devre dışı bırakılırsa, kullanıcı kimlik doğrulaması başarısız olur ve kaynak SChannel ile olay kimliği Olay Görüntüleyicisi Sistem günlüğüne girilir. TLS 1.2'nin etkinleştirildiğini doğrulamak için bkz . TLS kayıt defteri ayarları. |
| HTTP_CONNECT_ERROR | NPS uzantısını çalıştıran sunucuda https://adnotifications.windowsazure.com ve https://login.microsoftonline.com/ adreslerine ulaşabildiğinizi doğrulayın. Bu siteler yüklenmiyorsa, o sunucudaki bağlantı sorunlarını giderin. |
| Microsoft Entra çok faktörlü kimlik doğrulaması (AccessReject) için NPS Uzantısı: Microsoft Entra çok faktörlü kimlik doğrulaması için NPS Uzantısı yalnızca AccessAccept Durumunda radius istekleri için İkincil Kimlik Doğrulaması gerçekleştirir. Yanıt durumu AccessReject olan kullanıcı kullanıcı adı için istek alındı, istek yok sayılarak. |
Bu hata genellikle AD'de kimlik doğrulaması başarısızlığını veya NPS sunucusunun Microsoft Entra ID'den yanıtları alamamasını yansıtır. Güvenlik duvarlarınızın 80 ve 443 numaralı bağlantı noktaları kullanılarak https://adnotifications.windowsazure.com ve https://login.microsoftonline.com adreslerine gelen ve bu adresten giden trafik için iki yönlü olarak açık olduğunu doğrulayın. Ağ Erişim İzinleri'nin ARAYARAK BAĞLAN SEKMESINDE ayarın "NPS Ağ İlkesi aracılığıyla erişimi denetle" olarak ayarlandığını denetlemek de önemlidir. Kullanıcıya lisans atanmamışsa bu hata da tetiklenebilir. |
| Microsoft Entra çok faktörlü kimlik doğrulaması (AccessChallenge) için NPS Uzantısı: Microsoft Entra çok faktörlü kimlik doğrulaması için NPS Uzantısı yalnızca AccessAccept Durumunda radius istekleri için İkincil Kimlik Doğrulaması gerçekleştirir. Yanıt durumu AccessChallenge olan kullanıcı kullanıcı adı için istek alındı, istek yok sayılarak. |
Bu yanıt, kimlik doğrulama veya yetkilendirme işlemini tamamlamak için kullanıcıdan ek bilgi gerektiğinde kullanılır. NPS sunucusu, kullanıcıya daha fazla kimlik bilgisi veya bilgi isteyerek bir sınama gönderir. Genellikle Access-Accept veya Access-Reject yanıtlarının başında yer alır. |
| REGISTRY_CONFIG_ERROR | Kayıt defterinde uygulama için bir anahtar eski; bunun nedeni yüklemeden sonra PowerShell betiğinin çalıştırılmamış olması olabilir. Hata iletisi eksik anahtarı içermelidir. anahtarın HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AzureMfa altında olduğundan emin olun. |
| REQUEST_FORMAT_ERROR Radius İsteğinde zorunlu Radius userName\Identifier özniteliği eksik. NPS'nin RADIUS isteklerini aldığını doğrulayın |
Bu hata genellikle bir yükleme sorununu yansıtır. RADIUS isteklerini alabilecek NPS sunucularına NPS uzantısı yüklenmelidir. RDG ve RRAS gibi hizmetler için bağımlılık olarak yüklenen NPS sunucuları Radius istekleri almaz. NPS Uzantısı, bu tür yüklemeler üzerine yüklendiğinde çalışmaz ve kimlik doğrulama isteğinden ayrıntıları okuyabildiğinden hatalar çıkar. |
| REQUEST_MISSING_CODE | NPS ile NAS sunucuları arasında parola şifreleme protokolünün kullandığınız ikincil kimlik doğrulama yöntemini desteklediğinden emin olun. PAP bulutta Microsoft Entra çok faktörlü kimlik doğrulamasının tüm kimlik doğrulama yöntemlerini destekler: telefon araması, tek yönlü kısa mesaj, mobil uygulama bildirimi ve mobil uygulama doğrulama kodu. CHAPV2 ve EAP destek telefon araması ve mobil uygulama bildirimi. |
| USERNAME_CANONICALIZATION_ERROR | Kullanıcının şirket içi Active Directory örneğinizde mevcut olduğunu ve NPS Hizmeti'nin dizine erişim izinlerine sahip olduğunu doğrulayın. Orman güvenleri kullanıyorsanız daha fazla yardım için desteğe başvurun. |
| Kullanıcı için Kimlik Doğrulama Ext içinde sınama istendi | PAP dışında bir RADIUS protokolü kullanan kuruluşlar, NPS Uzantısı sunucusunun AuthZOptCh olay günlüğünde bu olaylarla birlikte kullanıcı VPN yetkilendirmesinin başarısız olduğunu görür. NPS Sunucusunu PAP'yi destekleyecek şekilde yapılandırabilirsiniz. PAP bir seçenek değilse, OVERRIDE_NUMBER_MATCHING_WITH_OTP = YANLIŞ'ı anında iletme bildirimlerini onayla/reddet olarak ayarlayabilirsiniz. Daha fazla yardım için lütfen NPS Uzantısını kullanarak sayı eşleştirme'yi denetleyin. |
Alternatif oturum açma kimliği hataları
| Hata kodu | Hata iletisi | Sorun giderme adımları |
|---|---|---|
| ALTERNATE_LOGIN_ID_ERROR | Hata: userObjectSid araması başarısız oldu | Kullanıcının şirket içi Active Directory örneğinizde var olduğunu doğrulayın. Orman güvenleri kullanıyorsanız daha fazla yardım için desteğe başvurun. |
| ALTERNATE_LOGIN_ID_ERROR | Hata: Alternatif LoginId araması başarısız oldu | LDAP_ALTERNATE_LOGINID_ATTRIBUTE geçerli bir Active Directory özniteliğine ayarlandığını doğrulayın. LDAP_FORCE_GLOBAL_CATALOG True olarak ayarlandıysa veya LDAP_LOOKUP_FORESTS boş olmayan bir değerle yapılandırıldıysa, Genel Katalog yapılandırdığınızdan ve AlternateLoginId özniteliğinin buna eklendiğini doğrulayın. LDAP_LOOKUP_FORESTS boş olmayan bir değerle yapılandırılmışsa, değerin doğru olduğunu doğrulayın. Birden fazla orman adı varsa, adlar boşluklarla değil noktalı virgülle ayrılmalıdır. Bu adımlar sorunu çözmezse daha fazla yardım için desteğe başvurun. |
| ALTERNATE_LOGIN_ID_ERROR | Hata: Alternatif LoginId değeri boş | AlternateLoginId özniteliğinin kullanıcı için yapılandırıldığını doğrulayın. |
Kullanıcılarınızın karşılaşabileceği hatalar
| Hata kodu | Hata iletisi | Sorun giderme adımları |
|---|---|---|
| AccessDenied | Arayan kiracısı, kullanıcı için kimlik doğrulaması yapmak için erişim izinlerine sahip değil | Kiracı etki alanının ve kullanıcı asıl adının (UPN) etki alanının aynı olup olmadığını denetleyin. Örneğin, Contoso kiracısının kimliğini doğrulamaya çalıştığından emin olun user@contoso.com . UPN, Azure'daki kiracı için geçerli bir kullanıcıyı temsil eder. |
| AuthenticationMethodNotConfigured | Belirtilen kimlik doğrulama yöntemi kullanıcı için yapılandırılmadı | Kullanıcının iki aşamalı doğrulama için ayarlarınızı yönetme başlığındaki yönergelere göre doğrulama yöntemlerini eklemesini veya doğrulamasını sağlayın. |
| AuthenticationMethodNotSupported | Belirtilen kimlik doğrulama yöntemi desteklenmiyor. | Bu hatayı içeren tüm günlüklerinizi toplayın ve desteğe başvurun. Desteğe başvurduğunuz zaman, hatayı tetikleyen kullanıcı adını ve ikincil doğrulama yöntemini belirtin. |
| BecAccessDenied | MSODS Bec çağrısı döndürülen erişim reddedildi, büyük olasılıkla kullanıcı adı kiracıda tanımlanmamıştır | Kullanıcı şirket içi Active Directory'de bulunur ancak AD Bağlan tarafından Microsoft Entra Id ile eşitlenmez. Alternatif olarak, kiracı için kullanıcı eksiktir. Kullanıcıyı Microsoft Entra Id'ye ekleyin ve iki aşamalı doğrulama için ayarlarınızı yönetme başlığındaki yönergelere göre doğrulama yöntemlerini eklemesini sağlayın. |
| InvalidFormat veya StrongAuthenticationServiceInvalidParameter | Telefon numarası tanınmayan bir biçimde | Kullanıcının doğrulama telefon numaralarını düzeltmesini sağlayın. |
| InvalidSession | Belirtilen oturum geçersiz veya süresi dolmuş olabilir | Oturumun tamamlanması üç dakikadan fazla zaman aldı. Kullanıcının doğrulama kodunu girdiğinizi veya kimlik doğrulama isteğini başlatan üç dakika içinde uygulama bildirimine yanıt verdiğini doğrulayın. Bu sorun çözülmezse istemci, NAS Sunucusu, NPS Sunucusu ve Microsoft Entra çok faktörlü kimlik doğrulama uç noktası arasında ağ gecikmesi olup olmadığını denetleyin. |
| NoDefaultAuthenticationMethodIsConfigured | Kullanıcı için varsayılan kimlik doğrulama yöntemi yapılandırılmadı | Kullanıcının iki aşamalı doğrulama için ayarlarınızı yönetme başlığındaki yönergelere göre doğrulama yöntemlerini eklemesini veya doğrulamasını sağlayın. Kullanıcının varsayılan bir kimlik doğrulama yöntemi seçtiğini ve hesabı için bu yöntemi yapılandırdığını doğrulayın. |
| OathCodePinIncorrect | Yanlış kod ve pin girildi. | NPS uzantısında bu hata beklenmez. Kullanıcınız bununla karşılaşırsa sorun giderme yardımı için desteğe başvurun. |
| ProofDataNotFound | Belirtilen kimlik doğrulama yöntemi için yazım denetleme verileri yapılandırılmadı. | Kullanıcının farklı bir doğrulama yöntemi denemesini sağlayın veya İki aşamalı doğrulama için ayarlarınızı yönetme başlığındaki yönergelere göre yeni bir doğrulama yöntemi ekleyin. Doğrulama yönteminin doğru ayarlandığını onayladıktan sonra kullanıcı bu hatayı görmeye devam ederse destek birimine başvurun. |
| SMSAuthFailedWrongCodePinEntered | Yanlış kod ve pin girildi. (OneWaySMS) | NPS uzantısında bu hata beklenmez. Kullanıcınız bununla karşılaşırsa sorun giderme yardımı için desteğe başvurun. |
| TenantIsBlocked | Kiracı engellendi | Microsoft Entra yönetim merkezindeki Microsoft Entra özellikleri sayfasından Kiracı Kimliği ile desteğe başvurun. |
| UserNotFound | Belirtilen kullanıcı bulunamadı | Kiracı artık Microsoft Entra Id'de etkin olarak görünmüyor. Aboneliğinizin etkin olup olmadığını ve gerekli birinci taraf uygulamalarına sahip olup olmadığınızı denetleyin. Ayrıca sertifika konusundaki kiracının beklendiği gibi olduğundan ve sertifikanın hala geçerli ve hizmet sorumlusu altında kayıtlı olduğundan emin olun. |
Kullanıcılarınızın karşılaşabileceği ve hata olmayan iletiler
Bazen, kimlik doğrulama istekleri başarısız olduğundan kullanıcılarınız çok faktörlü kimlik doğrulamasından iletiler alabilir. Bunlar yapılandırma ürünündeki hatalar değildir, ancak kimlik doğrulama isteğinin neden reddedildiğini açıklayan kasıtlı uyarılardır.
| Hata kodu | Hata iletisi | Önerilen adımlar |
|---|---|---|
| OathCodeIncorrect | Yanlış kod girildi\OATH Kodu Yanlış | Kullanıcı yanlış kod girdi. Yeni bir kod isteyerek veya yeniden oturum açarak yeniden denemelerini sağlayın. |
| SMSAuthFailedMaxAllowedCodeRetryReached | İzin verilen kod yeniden deneme sayısı üst sınırına ulaşıldı | Kullanıcı doğrulama sınamasını birçok kez başarısız oldu. Ayarlarınıza bağlı olarak, şimdi bir yönetici tarafından engellerinin kaldırılmış olması gerekebilir. |
| SMSAuthFailedWrongCodeEntered | Yanlış kod girildi/Metin İletisi OTP Yanlış | Kullanıcı yanlış kod girdi. Yeni bir kod isteyerek veya yeniden oturum açarak yeniden denemelerini sağlayın. |
| AuthenticationThrottled | Kısa bir süre içinde kullanıcı tarafından çok fazla deneme. Kısıtlama. | Microsoft, aynı kullanıcı tarafından gerçekleştirilen yinelenen kimlik doğrulama girişimlerini kısa bir süre içinde sınırlayabilir. Bu sınırlama Microsoft Authenticator veya doğrulama kodu için geçerli değildir. Bu sınırlara ulaşmanız durumunda Authenticator Uygulamasını, doğrulama kodunu kullanabilir veya birkaç dakika içinde yeniden oturum açmayı deneyebilirsiniz. |
| AuthenticationMethodLimitReached | Kimlik Doğrulama Yöntemi Sınırına Ulaşıldı. Kısıtlama. | Microsoft, aynı kullanıcı tarafından aynı kimlik doğrulama yöntemi türü kullanılarak gerçekleştirilen yinelenen kimlik doğrulama girişimlerini, özellikle Sesli arama veya SMS olmak üzere kısa bir süre içinde sınırlandırabilir. Bu sınırlama Microsoft Authenticator veya doğrulama kodu için geçerli değildir. Bu sınırlara ulaşmanız durumunda Authenticator Uygulamasını, doğrulama kodunu kullanabilir veya birkaç dakika içinde yeniden oturum açmayı deneyebilirsiniz. |
Destek gerektiren hatalar
Bu hatalardan biriyle karşılaşırsanız tanılama yardımı için desteğe başvurmanızı öneririz. Bu hataları giderebilecek standart bir adım kümesi yoktur. Desteğe başvurduğunuz zaman, hataya neden olan adımlar ve kiracı bilgileriniz hakkında mümkün olduğunca çok bilgi eklediğinizden emin olun.
| Hata kodu | Hata iletisi |
|---|---|
| InvalidParameter | İstek null olmamalıdır |
| InvalidParameter | ReplicationScope için ObjectId null veya boş olmamalıdır:{0} |
| InvalidParameter | CompanyName {0}\ uzunluğu izin verilen maksimum uzunluktan daha uzun {1} |
| InvalidParameter | UserPrincipalName null veya boş olmamalıdır |
| InvalidParameter | Sağlanan TenantId doğru biçimde değil |
| InvalidParameter | SessionId null veya boş olmamalıdır |
| InvalidParameter | İstekten veya Msods'dan hiçbir ProofData çözümlenemedi. ProofData Bilinmiyor |
| InternalError | |
| OathCodePinIncorrect | |
| VersionNotSupported | |
| MFAPinNotSetup |
Sonraki adımlar
Kullanıcı hesaplarıyla ilgili sorunları giderme
Kullanıcılarınız iki aşamalı doğrulamayla ilgili sorun yaşıyorsa sorunları kendi kendine tanılamalarına yardımcı olun.
Sistem durumu denetimi betiği
Microsoft Entra çok faktörlü kimlik doğrulaması NPS Uzantısı sistem durumu denetimi betiği, NPS uzantısı sorunlarını giderirken birkaç temel sistem durumu denetimi gerçekleştirir. Betik çalıştırıldığında kullanılabilen her seçenek hakkında hızlı bir özet aşağıda verilmiştir:
- Seçenek 1 - sorunun nedenini yalıtmak için: Bir NPS veya MFA sorunuysa (MFA RegKey'lerini Dışarı Aktar, NPS'yi Yeniden Başlat, Test, Kayıt Defteri Tuşlarını İçeri Aktar, NPS'yi Yeniden Başlat)
- 2. Seçenek: Tüm kullanıcılar MFA NPS Uzantısını kullanamıyorsa (Azure'a Erişimi Test Etme/HTML Raporu Oluşturma) tam bir test kümesini denetlemek için
- 3. Seçenek: Belirli bir kullanıcı MFA NPS Uzantısını kullanamıyorsa belirli bir test kümesini denetlemek için (belirli UPN için MFA Testi)
- Seçenek 4 - Microsoft desteğine başvurmak üzere günlükleri toplamak için (Günlüğü Etkinleştir/NPS'yi Yeniden Başlat/Günlükleri Topla)
Microsoft desteğine başvurma
Ek yardıma ihtiyacınız varsa, MFA desteği aracılığıyla bir destek uzmanına başvurun. Bizimle iletişim kurarken, sorununuz hakkında mümkün olduğunca çok bilgi ekleyebilmeniz yararlı olur. Sağlayabildiğiniz bilgiler hatayı gördüğünüz sayfayı, belirli hata kodunu, belirli oturum kimliğini, hatayı gören kullanıcının kimliğini ve hata ayıklama günlüklerini içerir.
Destek tanılaması için hata ayıklama günlüklerini toplamak için, NPS sunucusunda Microsoft Entra çok faktörlü kimlik doğrulaması NPS Uzantısı sistem durumu denetimi betiğini çalıştırın ve günlükleri microsoft desteğine sağlamak üzere toplamak üzere 4 seçeneğini belirleyin.
Sonunda, C:\NPS klasöründe oluşturulan zip çıkış dosyasını karşıya yükleyin ve destek olayına ekleyin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin